নতুন উইন্ডোজ 'পিংব্যাক' ম্যালওয়্যার গোপন যোগাযোগের জন্য ICMP ব্যবহার করে

  • প্রধান
  • খবর
  • নতুন উইন্ডোজ 'পিংব্যাক' ম্যালওয়্যার গোপন যোগাযোগের জন্য ICMP ব্যবহার করে

আজ, গবেষকরা একটি নতুন উইন্ডোজ ম্যালওয়্যার নমুনায় তাদের ফলাফল প্রকাশ করেছেন যা ইন্টারনেট কন্ট্রোল মেসেজ প্রোটোকল (ICMP) এর কমান্ড এবং নিয়ন্ত্রণ (C2) কার্যকলাপের জন্য ব্যবহার করে।

'পিংব্যাক' ডাব করা, এই ম্যালওয়্যারটি 64-বিট মাইক্রোসফ্ট উইন্ডোজ সিস্টেমকে লক্ষ্য করে এবং অধ্যবসায় বাড়ানোর জন্য DLL হাইজ্যাকিং ব্যবহার করে।

দূষিত DLL ফাইল লোড করতে বাস্তব উইন্ডোজ পরিষেবার অপব্যবহার করুন

আজ, ট্রাস্টওয়েভ সিনিয়র আর্কিটেক্ট লয়েড ম্যাক্রোহন এবং প্রধান নিরাপত্তা গবেষক রোডেল মেনড্রেজ একটি 64-বিট ডিএলএল হিসাবে বিদ্যমান একটি নতুন উইন্ডোজ ম্যালওয়্যারের উপর তাদের ফলাফল প্রকাশ করেছেন।

উল্লেখ্য, ম্যালওয়্যারের নমুনা আইসিএমপি কমিউনিকেশন প্রোটোকলের পছন্দ, যা জনপ্রিয় বাঁশি কমান্ড এবং উইন্ডোজ ট্রেস রুট ইউটিলিটি

প্রশ্নে থাকা দূষিত ফাইলটিকে একটি সাধারণ 66KB DLL বলা হয়৷ oci.dll, এবং সাধারণত অন্য দূষিত প্রক্রিয়া বা আক্রমণ ভেক্টর দ্বারা উইন্ডোজ 'সিস্টেম' ফোল্ডারের ভিতরে বিতরণ করা হয়।

গবেষকরা দ্রুত বুঝতে পেরেছিলেন যে এই DLL পরিচিত উইন্ডোজ অ্যাপ্লিকেশন দ্বারা লোড হচ্ছে না। rundll32.exe , কিন্তু DLL হাইজ্যাকিংয়ের উপর নির্ভর করে।

সিস্টেমে ক্ষতিকারক DLL লোড হয়েছে৷

বৈধ Windows প্রক্রিয়া দ্বারা লোড করা ক্ষতিকারক DLL প্রক্রিয়া কাঠামো
সূত্র: ট্রাস্টওয়েভ

'আমরা জানতাম যে ফাইলটি আমাদের প্রাথমিক ট্রাইজের সময় সন্দেহজনক ছিল, কিন্তু আমরা বুঝতে পারিনি কিভাবে এটি সিস্টেমে লোড হয়েছে কারণ DLL প্রথাগত সিস্টেমের মাধ্যমে লোড হয়নি। rundll32.exe, 'ম্যাক্রোহন এবং মেনড্রেজ রাজ্য।

DLL হাইজ্যাকিং হল Windows সিস্টেমে আক্রমণকারীদের দ্বারা ব্যবহৃত একটি কৌশল যা Windows অপারেটিং সিস্টেমের দ্বারা বিশ্বস্ত ফোল্ডারগুলির মধ্যে একটিতে একটি দূষিত DLL ফাইল স্থাপন করে, যাতে একটি বৈধ সিস্টেম অ্যাপ্লিকেশন দূষিত DLL ফাইলটিকে দখল করে চালায়।

এইভাবে, আক্রমণকারীরা তাদের নির্বিচারে দূষিত কোড চালানোর জন্য একটি বাস্তব এবং বিশ্বস্ত উইন্ডোজ প্রক্রিয়ার সুবিধা নিতে পারে।

গত বছর, ব্লিপিং কম্পিউটার রিপোর্ট করেছে, প্রায় 300টি উইন্ডোজ এক্সিকিউটেবল ডিএলএল হাইজ্যাকিংয়ের জন্য অপব্যবহার করা যেতে পারে।

এই ক্ষেত্রে, ট্রাস্টওয়েভ গবেষকরা চিহ্নিত করেছেন যে মাইক্রোসফ্ট ডিস্ট্রিবিউটেড ট্রানজ্যাকশন কন্ট্রোল (msdtc) পরিষেবাটি দূষিত ফাইলগুলি আপলোড করার জন্য অপব্যবহার করা হচ্ছে। oci.dll.

প্রকৃতপক্ষে, msdtc.exe মধ্যে উপস্থিত প্রস্তুত 300+ উইন্ডোজ এক্সিকিউটেবল যা DLL হাইজ্যাকিংয়ের জন্য উপযুক্ত প্রার্থী, PwC গবেষক দ্বারা সংকলিত উইটজে বিউকেমা .

লঞ্চের সময়, উইন্ডোজ এমএসডিটিসি পরিষেবাটি লোড করার জন্য 3টি DLL সন্ধান করে: oci.dll , SqlLib80.dll , এইটা xa80.dll .

সত্যটি oci.dll একটি ওরাকল লাইব্রেরি (ওরাকল কল ইন্টারফেস) প্রতিনিধিত্ব করে যা ওরাকল ডাটাবেসের সাথে সমর্থন ও যোগাযোগ করার জন্য বিদ্যমান। কিন্তু এখানে কৌশল:

'ডিফল্টরূপে, তিনটি ওরাকল ডিএলএল উইন্ডোজ সিস্টেম ডিরেক্টরিতে বিদ্যমান নেই।'

'সুতরাং, তাত্ত্বিকভাবে, সিস্টেমের সুবিধা সহ একজন আক্রমণকারী একটি দূষিত DLL মুছে ফেলতে পারে এবং DLL ফাইলের নামগুলির একটি ব্যবহার করে এটি সংরক্ষণ করতে পারে MTxOCI লোড,' গবেষকরা ব্যাখ্যা করেন।

যদিও গবেষকরা উইন্ডোজের সব 3টি DLL ফাইলের নাম মুছে ফেলার পরীক্ষা করেছেন, তারা কেবল এটিই খুঁজে পেয়েছেন oci.dll থেকে সমস্যা ছাড়া লোড করা যাবে এমএসডিটিসি সেবা.

কিন্তু ক্ষতি কোথা থেকে আসে? oci.dll তুমি এসেছ?

যদিও প্রাথমিক এন্ট্রি ভেক্টর এখনও অধ্যয়ন করা হচ্ছে, গবেষকরা আরেকটি ম্যালওয়্যার নমুনা সন্দেহ করেন, updater.exe দুষ্টের পতন ঘটানো দুজনের পেছনে oci.dll উইন্ডোজ 'সিস্টেম' ফোল্ডার এবং সেটিংসে এমএসডিটিসি প্রতিটি বুটে কাজ করতে।

Bleeping Computer দ্বারা বিশ্লেষণ হিসাবে, updater.exe আসলে, এটি কনফিগার করার জন্য একটি স্ক্রিপ্ট চালায় এমএসডিটিসি অবিরাম এবং আরো ড্রপ চালানোর জন্য oci.dll :

sc stop msdtc
sc config msdtc obj = স্থানীয় সিস্টেম বুট = স্বয়ংক্রিয়
sc msdtc শুরু হয়

actualizata.exe msdtc কনফিগার করে

Updated.exe কনফিগার করুন এমএসডিটিসি অবিরাম চালান
সূত্র: BleepingComputer (ANY.RUN এ পর্যালোচনা করা হয়েছে)

গোপন যোগাযোগের জন্য ICMP টানেলিং ব্যবহার করুন

দ্য oci.dll ম্যালওয়্যার একবার থেকে চালু হয় msdtc, গোপনে তার C2 সার্ভার থেকে কমান্ড গ্রহণ করতে ICMP ব্যবহার করে।

ট্রাস্টওয়েভ গবেষকরা যারা এই ম্যালওয়্যারটিকে 'পিংব্যাক' নাম দিয়েছেন তারা বলছেন যে যোগাযোগের জন্য ICMP ব্যবহার করার সুবিধা হল যে Pingback কার্যকরভাবে ব্যবহারকারীর কাছ থেকে লুকানো থাকে।

এর কারণ হল ICMP এর 'পোর্ট' এর কোন ধারণা নেই এবং TCP বা UDP ব্যবহার করে না। যেমন, oci.dll যেমন ডায়গনিস্টিক সরঞ্জাম দ্বারা সনাক্ত করা যাবে না netstat .

যদিও প্রতিটি ICMP প্যাকেটে একটি 'ডেটা' ফিল্ড থাকে যাতে ফিল্ডের মধ্যে কাস্টম ডেটা লুকিয়ে রাখা যায় এবং দুটি সিস্টেমের মধ্যে এটিকে পাস করা যায়:

'ডেটা' ফিল্ড সহ ICMP প্যাকেট ম্যালওয়্যার দ্বারা বট কমান্ড গ্রহণ করতে ব্যবহৃত হয়
সূত্র: ট্রাস্টওয়েভ

'ICMP ডেটা সেকশন হল যেখানে একজন আক্রমণকারী এটা করতে পারে কাঁধে নির্বিচারে তথ্য একটি দূরবর্তী হোস্ট পাঠানো হবে. দূরবর্তী হোস্ট একইভাবে সাড়া দেয়, [পিগিব্যাকিং] থেকে অন্য আইসিএমপি প্যাকেটে একটি প্রতিক্রিয়া এবং এটি ফেরত পাঠানো,' ম্যাক্রোহন এবং মেনড্রেজ ব্যাখ্যা করেন।

পিংব্যাক ম্যালওয়্যার ( oci.dll ) শুধুমাত্র একটি সংক্রামিত সিস্টেমে সমস্ত আগত ICMP প্যাকেটের জন্য শোনে এবং সিকোয়েন্স নম্বর সহ প্যাকেটগুলিকে বেছে বেছে বিশ্লেষণ করে: 123 4 , 123 5 123 6 .

সিকোয়েন্স নম্বর 1234 সহ একটি ইনকামিং ICMP প্যাকেট দূষিত প্রক্রিয়াটিকে বলে যে এই অনুরোধটিতে পেলোড বা কমান্ড রয়েছে, যখন 1235 এবং 1236 হল পিংব্যাকের ট্র্যাকিং এবং উভয় প্রান্তে একটি অনুরোধ গৃহীত হয়েছে কিনা তা সনাক্ত করার উপায়৷

প্রাপ্ত তথ্য যেমন C2 কমান্ড থাকতে পারে শেল, ডাউনলোড, আপলোড, নির্বাহী, ইত্যাদি

মূলত, এই কমান্ডগুলি আক্রমণকারী-নিয়ন্ত্রিত সার্ভার এবং সংক্রামিত সিস্টেমের মধ্যে ডেটা প্রেরণ করতে এবং একটি দূরবর্তী আক্রমণকারীকে সংক্রামিত সিস্টেমে অন্যান্য স্বেচ্ছাচারী আদেশগুলি চালানোর অনুমতি দিতে ব্যবহৃত হয়।

ব্লিপিং কম্পিউটারও উল্লেখ করেছে, oci.dll ভিজ্যুয়াল স্টুডিও 2008-এর নামানুসারে একটি ডামি ফাইল পাথ উল্লেখ করা হয়েছে যা নৈমিত্তিক পর্যবেক্ষকের কাছে বৈধ প্রকল্প ডেটা ধারণ করতে পারে, কিন্তু সম্ভবত পিংব্যাক ম্যালওয়্যার দ্বারা ডেটা স্টোরেজের মতো খারাপ কার্যকলাপের জন্য ব্যবহার করা হয়েছে:

c: Users XL ডকুমেন্টস ভিজ্যুয়াল স্টুডিও 2008 প্রজেক্ট PingBackService0509 x64 রিলিজ PingBackService0509.pdb

'আইসিএমপি টানেলিং নতুন কিছু নয়, তবে এই বিশেষ নমুনাটি সনাক্তকরণ এড়াতে এই কৌশলটি ব্যবহার করে ম্যালওয়্যারের একটি বাস্তব উদাহরণ হিসাবে আমাদের আগ্রহ তৈরি করেছে,' গবেষকরা বলেছেন।

যাইহোক, যেহেতু ICMP-তেও একটি ডায়াগনস্টিক টুল হিসাবে বৈধ ব্যবহারের ক্ষেত্রে রয়েছে, তাই গবেষকদের পরামর্শ হল এটিকে নিষ্ক্রিয় করা নয়, বরং সন্দেহজনক ICMP ট্র্যাফিক শনাক্ত করার জন্য মনিটরিং মেকানিজম সেট আপ করা।

Trustwave এর বিস্তারিত প্রযুক্তিগত ফলাফল একটি ফাইলে প্রদান করা হয় ব্লগ পোস্ট . গবেষকরা ধারণার একটি প্রমাণও তৈরি করেছেন বট C2 কিছু Pingback কমান্ড প্রদর্শন করতে।

পিংব্যাক ম্যালওয়্যারের সাথে সম্পর্কিত আপোষের সূচক (IOCs) নীচে সরবরাহ করা হয়েছে:

ফাইল, সংরক্ষণাগার: oci.dll
SHA256: E50943D9F361830502DCFDB00971CBEE76877AA73665245427D817047523667F
SHA1: 0190495D0C3BE6C0EDBAB0D4DBD5A7E122EFBB3F
MD5: 264C2EDE235DC7232D673D4748437969

নেট:
ICMP প্রকার = 8
ক্রম সংখ্যা: 1234 | 1235 | 1236
ডেটা আকার: 788 বাইট

আপনি কি মনে করেন?